2. introdução
engenharia reversa de malware
proteções e ofuscação de código
ferramentas
etapas da engenharia reversa
estudo de caso / demonstração
3. porque analisar manualmente um
trojan?
incidentes internos
dados sigilosos
descoberta de novas ameaças e técnicas
criação de novas assinaturas para apps
de segurança
4. análise estática
reverter o processo do compilador
entender o funcionamento do malware
conhecimentos desejados: programação, API
windows, memória, formato PE,
(dis)assembly, curiosidade
para começar basta saber usar as
ferramentas certas
5. packers
ofuscação de código e compressão de dados
cryptors
ofuscação de código
binders
anexa a outro arquivo
funções internas
strings e informações relevantes (decrypt em runtime)
6. máquina disassemblers
identificadores unpackers descompiladores
virtual e debuggers
Virtual lammer DeDe
PEiD IDA
Box info (delphi)
busca no VB
VMware exeinfoPE OllyDbg
google Decompiler
Imm
RDG manual showmycode
Debugger
.com
(Java, Flash,
file, TrID WinDbg PHP, .NET)
7. 1. identificar o arquivo e proteções
PEiD, exeinfoPE , RDG, file, TrID
2. retirar proteções
unpackers, manualmente
3. disassembly do código (IDA, OllyDbg)
4. buscar strings relevantes
5. descriptografar strings (OllyDbg)
6. no IDA ir atualizando com as descobertas
7. tentar descompilar (DeDe e VB Decompiler)